Hl++2013 lyamin

DDoS атаки в России
2013
Александр Лямин
<la@qrator.net>

Факты и цифры
Нейтрализовано атак:
Среднее атак в день:
Макс. в день:

2013
5786↑
19↑
151↑

2012
3749
10
73

Средний ботнет:
Макс. размер ботнета:
Макс. длительность:
Spoofed атак:
Средняя доступность:

1169↓
243247↑
22 дня↓
57.97%↑
99.83%↑

2020
207401
83 дня
43.05%
99.71%

Распределение по отраслям
2012
Магические услуги
Правительство
Интернет-магазины
Купоны
Недвижимость
СМИ
Биржи и Forex
Инфо-услуги
Платежные системы
Игры и развлечения
Сайты-визитки
Банки
Туристические фирмы
Страховые компании
Общий итог

3Q 2013
132.5
36.4
28.7
23.7
23.5
22.5
22.1
21.0
20.9
19.2
11.8
11.3
11.1
2.8
24.8

процент роста 12-13
339.3
36.0
30.8
49.0
50.5
22.7
117.5
26.0
41.0
22.6
16.0
14.7
30.1
25.0
33.3

156%
-1%
7%
107%
115%
1%
431%
24%
97%
18%
36%
30%
170%
798%
34%

Гео-распределение
10.00%
VN
9.00%

IN
IR

8.00%
7.00%
6.00%

RU
KZ
ID
PH
TH

5.00%

DE
MX

4.00%
3.00%
2.00%

EG
PE
UA
TR
PK

1.00%

US
CN

0.00%

Скоростные атаки ( -UDP )
>= 1Gbps, 2.07%

< 1Gbps, 97.93%

Атаки по дням
160

140

120

100

80

2013
2012

60

40

20

0
1 янв

1 фев

1 мар

1 апр

1 май

1 июн

1 июл

1 авг

1 сен

1 окт

1 ноя

1 дек

Атаки по месяцам
1400

1200

1000

800
2013
2012

600

400

200

0
Январь

Фебраль

Март

Апрель

Май

Июнь

Июль

Август

Сентябрь

Октябрь

Ноябрь

Декабрь

Атаки по типу
2012

2013

Full
connect, 42.03%

Spoofed, 43.05%
Full
connect, 56.95%

Spoofed, 57.97%

Spoofed атаки по месяцам
80.00%

70.00%

60.00%

50.00%

40.00%

2013
2012

30.00%

20.00%

10.00%

0.00%
Январь

Фебраль

Март

Апрель

Май

Июнь

Июль

Август

Сентябрь

Октябрь

Ноябрь

Декабрь

2013: Год фиолетового DNS

Beating on the dead horse
• Aug 1999 RFC-2671 EDNS0
• May 2000 BCP-38 “Network Ingress Filtering”
• Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks”
• Mar 2006 ICANN DNS DDoS advisory

Как это работает
Плохие парни

Жертва: WTF MATE?!

T
TX UU
IN U U
SRC_IP Жертва
M UU U U
O
? TXT BOMB.EXAMPLE.COM
.C UUU UUU
E
~60b
PL UUU UU
M
U
XA UUU UU
E
B. UU UU d]
M
U [d
k
BO UUU UUU
~4
U U
FU UU
UU

Плечо атак и - x60
Кривой DNS

И дело не только в DNS
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
00:27:54.013110 IP 192.168.1.1.55959 > 192.168.2.1.123: NTPv2, Reserved, length 12

«Перспективные» протоколы
• SNMP
• NTP
• Bittorrent
• …любой другой протокол с плечом ответа и без аутентификации
клиента

Local.Решения
• НЕ_держать DNS на локальной инфраструктуре;
• [иметь возможность] Отключить UDP на уровне оператора связи;

Ratelimit на публичных UDP-сервисах.
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name BRR --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${BRR} --name BRR
DROP

--rsource -j

iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name CRR --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount ${CRR} --name CRR
DROP

Желательно включенный by default.

--rsource -j

*rawpost
:POSTROUTING ACCEPT [15:1548]
-A POSTROUTING -s 10.1.0.0/24 -o eth8 -j RAWSNAT --to-source 10.10.40.3/32
COMMIT
# Completed on Mon May 20 04:47:30 2013
# Generated by iptables-save v1.4.16.3 on Mon May 20 04:47:30 2013
*raw
:PREROUTING ACCEPT [28:2128]
:OUTPUT ACCEPT [18:2056]
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 0 -j RAWDNAT --to-destination 10.1.0.1/32

COMMIT

3000

2500

kPPS

2000

1500

1000

500

0
1

2

3

4

5

6

7

8

9
RSS

10

11

12

13

14

15

16

http://radar.qrator.net

Проверить:

• Свою сеть
• Сеть upstream(s)
• Сеть к которой планируете
подключаться

….написать нам bug-report!

Global.Решения
Short term

Long term

• Rate limiting
• Отказ от EDNS0
• BCP-38/BCP-84
• Подождать, cамо отвалится…

• UDP auth cookies
• End-to-end аутентификация

… но только до следующего раза

Low&slow
• 1 запрос в 2-3 секунды
• 4 соединения
• 222 URL в циклически повторяющемся списке
• порядок получения объектов имитирует Firefox
• забирает статику

…. cпециализируется на банках средней руки.

Безопасность сетевых топологий
Угоны префиксов

Угоны префиксов в IPV6

• Возможны
• Встречаются in the wild
• Сложно обнаружимы
• RPSL проблему не решает
• RPKI проблему не решает
• Проблему решает:
наблюдательность и
педантичность

• Еще более возможны
• Разреженное адресное
пространство
• Меньше наблюдений и
пострадавших
…Идеальный плацдарм для атак

Безопасность сетевой инфраструктуры
Атаки на сеть передачи данных

• Разделение control&data
• Изоляция control

Что нового у Qrator?
• Миграция на 10GbE
• Полоса++
• Точки присутствия++
• Отчеты по инцидентам
• WAF
• DNS

Вопросы ?

la@qrator.net

Hl++2013 lyamin

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Hl++2013 lyamin

Similar to Hl++2013 lyamin (20)

More from Alexander Lyamin

More from Alexander Lyamin (16)

Hl++2013 lyamin

Editor's Notes